米国・英国・オーストラリア・カナダ・ニュージーランドの情報機関連合「ファイブアイズ」が、AIによるサイバー攻撃について「時間軸は年単位ではなく月単位だ」とする共同警告を出したと報じられています。各国のサイバー当局(NSA/CISA、GCHQ、ASD、CSE、GCSB)が名を連ねる異例の声明です。

ポイント

  • 警告の中身: AIエージェントを使った攻撃能力の立ち上がりが想定より速く、防御側の準備期間は「数カ月」しかないという認識が示されたとされます
  • 背景にある評価: 非公開のNSAの評価で、AIエージェントが機密システムの大半に侵入できたことが示されたと伝えられています
  • 具体的な対応: 米CISAは連邦機関に課す脆弱性修正(パッチ適用)の期限を3日に短縮したと報じられています

なぜ重要か

攻撃側がAIで自動化・高速化するなら、防御側も「人間の対応速度」を前提にした運用では間に合わなくなります。パッチ適用期限の大幅短縮はその象徴です。企業にとって現実的な備えは、(1) ソフトウェア更新の自動化、(2) 使っていない外部公開サービスの棚卸し、(3) フィッシング対策の多要素認証徹底、という基本の徹底に尽きます。「AI時代の新しい防御」の前に、基本の自動化が最優先という流れです。